Биллинговая система Nodeny
24 Ноября 2024, 15:19:34 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: Проблема с трафиком  (Прочитано 13155 раз)
trio
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 76


Просмотр профиля
« : 27 Октября 2009, 15:01:52 »

Привет.
ver 50.31
Столкнулся с проблемой переработки, точнее клиенту считает трафик даже если у него закрыт доступ.

данные клиента:


в данный момент у клиента доступ запрещен но трафик идет:


расширенная статистика:


ipfw list:
Код:
00050 allow tcp from any to me dst-port 22,23,1723
00051 allow tcp from me 22,23,1723 to any
00052 allow gre from any to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via ng0
00280 fwd 127.0.0.1,81 tcp from table(35) to not me dst-port 80
00290 fwd 127.0.0.1,8080 tcp from not table(0) to not me dst-port 80
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv ng0
00420 divert 1 ip from any to any
00450 divert 2 ip from any to any
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00510 divert 1 ip from any to any
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state
01020 allow udp from any to any keep-state
01100 allow ip from any to any
02000 check-state
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 80,443
02050 deny ip from any to any via ng0
02060 allow udp from any to any dst-port 53,7723
02065 allow ip from 10.7.7.253 to any
02065 allow ip from 10.7.7.20 to any
02066 allow ip from any to 10.7.7.253
02066 allow ip from any to 10.7.7.20
02100 deny ip from any to any
05000 deny ip from not table(0) to any
05001 skipto 5010 ip from table(127) to table(126)
05002 skipto 5030 ip from any to not table(2)
05003 deny ip from any to not table(1)
05004 pipe tablearg ip from table(21) to any
05005 deny ip from any to any
05010 pipe tablearg ip from table(127) to any
05030 deny tcp from table(15) to any dst-port 25,135,139,445
05132 allow ip from table(33) to table(32)
05400 pipe tablearg ip from table(11) to any
32000 deny ip from any to any
32490 deny ip from any to any
33000 pipe tablearg ip from table(126) to table(127)
33001 skipto 33010 ip from not table(2) to any
33002 pipe tablearg ip from any to table(20)
33003 deny ip from any to any
33132 allow ip from table(32) to table(33)
33400 pipe tablearg ip from any to table(10)
65535 deny ip from any to any
« Последнее редактирование: 27 Октября 2009, 19:53:27 от trio » Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #1 : 27 Октября 2009, 15:45:47 »

Могу подтвердить что такое было - думал глюк. Создал абонентов с заблокированым пакетом - доступ заблокирован. Но суда по статистики у некоторых 2, у некторых 50 или 100 мб, больше не видел. Поетому и сильно не придал значение.
Записан
Aivanzipper
NoDeny
Старожил
*

Карма: 62
Offline Offline

Сообщений: 387


206967443
Просмотр профиля
« Ответ #2 : 27 Октября 2009, 15:54:25 »

+1 подтверждаю, сам видел

но пока сильно не напрягает, т.к. тарифы безлимитные
Записан
trio
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 76


Просмотр профиля
« Ответ #3 : 27 Октября 2009, 17:10:07 »

но пока сильно не напрягает, т.к. тарифы безлимитные

Не совсем согласен.
У клиента включенный компьютер а трафик валит неймоверный, канал попусту напрягает.
Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #4 : 27 Октября 2009, 18:27:46 »

Разроботчики - прокоментируйте пожалуйста

P.S. Может ет окакой нить определенный трафик? Там UDP, или хз. Потому что больше 100 мб не видел, а клиенты если б был интернет точно халяву бы не пропустили и качали б намного больше...
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #5 : 27 Октября 2009, 19:22:40 »

у сеня скриншоты не открылись
Записан
trio
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 76


Просмотр профиля
« Ответ #6 : 27 Октября 2009, 19:49:12 »

Обратите внимание на количество подключений, скорее всего это вирус, так как у клиента инета нету, а трафик все же валит

З.Ы.
  Перезалил скриншоты
« Последнее редактирование: 27 Октября 2009, 19:54:46 от trio » Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #7 : 31 Октября 2009, 12:50:41 »

UP! У меня было нормальное количество подключений при таком.
Записан
verves
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 9


Просмотр профиля
« Ответ #8 : 31 Октября 2009, 15:38:40 »

Обратите внимание на количество подключений, скорее всего это вирус, так как у клиента инета нету, а трафик все же валит

З.Ы.
  Перезалил скриншоты
у клиента "белый" ip-адрес?
Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #9 : 31 Октября 2009, 19:18:12 »

У меня ни у кого нет белых айпи напрмер... замечено таких больше 5 клиентов...
Записан
trio
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 76


Просмотр профиля
« Ответ #10 : 31 Октября 2009, 23:42:22 »

Цитировать
у клиента "белый" ip-адрес?

нет серый
Записан
verves
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 9


Просмотр профиля
« Ответ #11 : 01 Ноября 2009, 03:28:32 »

Цитировать
у клиента "белый" ip-адрес?

нет серый
тогда каким образом хосты из внешней сети "проскальзывают" сквозь NAT в локалку? трафик ведь снимается с внутреннего интерфейса?
Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #12 : 01 Ноября 2009, 18:26:27 »

Мне тоже все ето очень интересно - фаервол с доки, вообще без изменений, так же как и nofire.
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #13 : 01 Ноября 2009, 23:50:46 »

Мне тоже все ето очень интересно - фаервол с доки, вообще без изменений, так же как и nofire.

если фаервол с доки (там где трафик снимается не с интерфейса, а посылается с помощью divert или netgraph), то в него включена защита от таких ситуаций.

Ранее, да, были такие проблемы:

1) после блокирования исходящего трафика, нат еще мог долго принимать и транслировать входящий. Такое свойство ната, который считает, что соединение должно жить какое-то определенное время пока на него идут пакеты. Этим пользовались вирусы - сыпали на клиента трафик, а клиент не мог закрыть соединение, поскольку от него было все заблокировано, т.е. послать RST для закрытия tcp-сессии он не мог. Вариант борьбы с этим: вместо deny в ipfw ставить reject.

2) трафик на белый ip с инета идет регулярно - это всевозможные сканирования, вирусы и т.д.

Текущий фаер от этого защищен - если клиент заблокирован, то трафик в коллектор не попадает!

Следовательно, если клиенту начислен трафик, то доступ в фаере в данный момент был открыт. Если начислило немного - возможно просто инерционность системы, ведь процессы не происходят мгновенно: ядро снимает показания трафика периодами, потом информацию обновляет noserver, т.е. проходит какое-то небольшое время, обычно удовлетворительное. Тут ничего не поделаешь - чудес не бывает, отрубить клиента в доли секунды как он переработал трафик, на скоростях до 10 Мб/сек - невозможно.

Если переработка трафика значительная, то тут надо уже думать/вычислять. Сообщите какие коллекторы используете (ipcad/netflow) и как они настроены (снимают трафик с интерфейса/divert/netgraph).

Если вы зафиксировали, что клиенту доступ по админке запрещен, а трафик начисляется, то посмотрите, прописано ли разрешение в фаерволе:

ipfw table 10 list

Посмотрите в админке в раздел "мониторинг" нет ли ошибок от модулей, не затупляют ли они (из-за сети или проблем с бд), смотрите логи noserver.log.

Также в таблице users_trf есть поле test, если его установить в 1, то через некоторое время noserver.pl выдаст отчет по клиенту с id = uid этой таблицы. Отчет будет в мониторинге. Мне он был бы очень полезен. Не забудьте только вернуть поле test в нулевое состояние, чтобы таблица не разрасталась
Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #14 : 05 Ноября 2009, 00:59:11 »

Достало. Првоел дополнительные тесты. Результат ниже.

Максимальная скорость такого клиента - скорость сателита по ходу.

При команда IPFW table 10 list - данный айпи адрес отображается.

Как я понял - прикол в том что в настройках клиента - доступ разрешен стоит по умолчанию. Не изменял раньше так как думал если пакет заблокориван то не имеет значения даная настройка - ошибся.

Ниже скрин настройки тарифа.

Просьба разработчикам отписатся о логике работы тарифа. Я понимаю например если в тарифе стоит заблокирован доступ всегда то так и должно быть. Или так и задумано? Хотя бы автоматически сбрасывалося на запрещен или блокировалось изменение данной опции. Так было бы правилнее.
Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!